PRIVACIDAD

Imágenes de terceros e IA: qué dice la AEPD y cómo evitar problemas en 2026

Última actualización: 6 de julio de 2026 · 7 min de lectura · 1438 palabras

Imágenes de terceros e IA: qué dice la AEPD y cómo evitar problemas en 2026

Respuesta rápida

Si una persona puede ser identificada en una foto, vídeo o contexto, usar esa imagen en una herramienta de IA puede ser tratamiento de datos personales aunque parezca un uso lúdico. La AEPD advierte de riesgos visibles e invisibles: generación de nuevo contenido, posibles usos adicionales por la plataforma, menores, reputación y pérdida de control. La regla práctica es no subir imágenes de terceros sin base clara, información y finalidad legítima.

Conclusiones clave

La AEPD ha publicado orientaciones específicas sobre imágenes de terceros en sistemas de IA.

Que una imagen esté en redes no significa que pueda reutilizarse libremente en IA.

Los menores requieren una cautela reforzada.

Editar o transformar una imagen no elimina automáticamente el dato personal.

Las agencias deben pedir autorización y documentar finalidad, herramienta y conservación.

El mejor control es usar bancos autorizados, modelos propios o imágenes sin personas identificables.

Análisis completo

Imágenes de terceros e IA: qué dice la AEPD y cómo evitar problemas en 2026 es una guía práctica para creadores, agencias, colegios, comercios, equipos de marketing y usuarios que suben fotos a herramientas de IA. La intención de búsqueda es concreta: entender cuándo una imagen de otra persona tratada con IA puede afectar a protección de datos. No parte de una promesa comercial ni de un titular suelto, sino de fuentes primarias y de una pregunta útil para España: qué cambia en el trabajo real, qué evidencia conviene guardar y qué decisión se puede tomar sin inventar datos.

Fuentes principales revisadas: Guía AEPD sobre imágenes de terceros en sistemas de IA, Nota AEPD sobre riesgos visibles e invisibles, Decálogo de privacidad al usar IA. La lectura editorial de Welaces es simple: cuando una norma, guía o iniciativa pública afecta a tecnología, privacidad, ecommerce, pagos o ciberseguridad, el valor no está en repetir el comunicado, sino en traducirlo a decisiones, errores evitables y pasos que una persona pueda aplicar.

Revisión de privacidad antes de usar imágenes con IA

Por qué importa ahora

Importa ahora porque las herramientas de IA visual han convertido en trivial subir una foto, cambiar una cara, generar una escena o crear una pieza publicitaria. Esa facilidad no elimina derechos. Una foto familiar, una imagen de un cliente o una captura de un menor puede terminar procesada por servicios externos sin que la persona lo sepa.

También importa porque muchas decisiones digitales se están tomando demasiado tarde. Primero se compra una herramienta, se publica una campaña, se conecta un proveedor o se envía un pago; solo después se pregunta por datos, permisos, trazabilidad o responsabilidades. Ese orden sale caro. En este tema, la ventaja es revisar antes de que haya presión, incidente o auditoría.

Para el lector español, la pregunta no es si el tema suena europeo o tecnológico. La pregunta es si afecta a una compra, un proceso, una web, un cliente, una cuenta bancaria, una imagen, un proveedor o una obligación interna. Si la respuesta es sí, conviene convertirlo en una checklist y asignar responsable.

Qué cambia en la práctica

En la práctica, cambia el briefing creativo. Antes se preguntaba si una imagen quedaba bien. Ahora hay que preguntar de quién es, si la persona es identificable, con qué permiso se obtuvo, a qué herramienta se subirá, si el resultado se publicará y si hay menores o contextos sensibles.

El cambio más útil es abandonar las decisiones de memoria. Una decisión digital debería dejar rastro mínimo: fuente consultada, fecha, responsable, alternativa descartada y próxima revisión. No hace falta crear burocracia pesada, pero sí evitar que todo dependa de una conversación perdida en un chat.

Checklist práctico sobre privacidad

A quién afecta de verdad

Afecta a creadores, agencias, colegios, comercios, equipos de marketing y usuarios que suben fotos a herramientas de IA. También afecta a proveedores, asesores y equipos técnicos que tendrán que explicar límites sin esconderse detrás de jerga. Si un proveedor no puede decir qué dato necesita, qué conserva, qué riesgo reduce y qué pasa si se cancela, todavía no está listo para una decisión seria.

En una pyme, el impacto suele aparecer en tareas pequeñas: quién sube una imagen, quién acepta una herramienta, quién cambia un IBAN, quién publica una ficha de producto, quién da acceso a un SaaS o quién responde ante una incidencia. Precisamente por eso conviene bajar el tema a ejemplos cotidianos.

Marco de decisión

Usa un semáforo. Verde: imágenes propias sin personas identificables o con permisos claros para ese uso. Ámbar: personas adultas identificables con consentimiento limitado, campañas internas o edición menor. Rojo: menores, imágenes de redes ajenas, contenido íntimo, sanitario, laboral, político, escolar o cualquier manipulación que pueda afectar reputación.

Después puntúa estos factores de 1 a 5: Identificabilidad, Consentimiento o base jurídica, Menores, Finalidad, Herramienta usada, Difusión del resultado. El 1 significa que el riesgo o impacto es bajo; el 5 significa que puede afectar a dinero, clientes, reputación, seguridad, cumplimiento o continuidad. Si dos factores salen en 4 o 5, no cierres la decisión con una lectura rápida.

La segunda capa es reversibilidad. Si puedes corregir el error en una tarde, bastará una comprobación ligera. Si el error puede exponer datos, bloquear pagos, crear dependencia de proveedor, publicar contenido engañoso o abrir una brecha de seguridad, necesitas aprobación y evidencia.

Checklist práctico

  • Define el caso de uso exacto y qué queda fuera.
  • Guarda la fuente primaria o documentación oficial consultada.
  • Identifica responsable y suplente.
  • Revisa datos, permisos, contratos, seguridad y salida.
  • Decide qué evidencia conservarás si alguien pregunta dentro de seis meses.
  • Comprueba si hay menores, datos personales, pagos, clientes o proveedores críticos.
  • Establece una revisión en 30 o 60 días.
  • Documenta una alternativa razonable y por qué se descarta.

La checklist debe ser breve. Si se convierte en un documento de veinte páginas, nadie la mantendrá. Su función es ayudar a decidir y revisar, no aparentar control.

Equipo aplicando criterios de decisión

Ejemplo aplicado en España

Una academia no debería subir fotos de alumnos a una herramienta para generar carteles sin autorización específica. Una agencia puede usar una sesión con modelos si el contrato cubre transformación con IA y difusión. Un comercio puede evitar el problema usando fotos de producto propias, fondos generados y personas no identificables.

La diferencia entre improvisar y trabajar con método no está en tener un departamento enorme. Está en hacer tres preguntas antes de actuar: qué puede salir mal, cómo lo sabremos y qué haremos si ocurre. Esa disciplina sirve para IA, privacidad, ecommerce, ciberseguridad, pagos y compras tecnológicas.

Errores comunes

El error más común es pensar que si la imagen ya está publicada se puede usar. Otro es creer que cambiar estilo a dibujo elimina el riesgo. También se subestiman los metadatos y usos adicionales de la plataforma. En menores, el margen de improvisación debe ser prácticamente cero.

Otro error transversal es confundir fuente con interpretación. Una página oficial puede decir qué obligación existe, pero cada empresa debe decidir cómo la aplica a su contexto. La interpretación debe ser prudente: no inventar plazos, no prometer resultados y no convertir una recomendación en obligación universal si la fuente no lo dice.

Señales de que lo estás aplicando bien

Vas bien si alguien ajeno al proyecto puede entender la decisión en dos minutos: qué problema resuelve, qué fuente se revisó, qué riesgo se aceptó, qué alternativa se descartó y cuándo se revisará. También vas bien si las ventajas y límites están visibles, no escondidos en una nota legal.

Las ventajas reales de actuar son: Evita daños reputacionales; Ordena campañas con IA; Protege a menores y clientes; Reduce riesgo legal. Los límites que no conviene ocultar son: Limita usos creativos improvisados; Exige revisar permisos de banco de imágenes; Puede ralentizar publicaciones urgentes. Una decisión madura no elimina esos límites; los gestiona.

Enlaces internos recomendados

Esta pieza se conecta con privacidad en IA para empresa, IA agéntica y protección de datos, herramientas de IA. Los enlaces no están para rellenar, sino para construir contexto: si el lector viene de un artículo de IA, privacidad, ecommerce o ciberseguridad, debe encontrar el siguiente paso natural sin caer en páginas duplicadas.

Qué puede pasar después

Veremos más plantillas de consentimiento, cláusulas de producción y políticas de redes para IA visual. Las marcas que trabajen con creatividad deberán documentar permisos igual que documentan licencias de música, tipografías o bancos de imagen.

Si el tema evoluciona, esta página debería actualizarse con fechas, fuentes y ejemplos. La mejor estrategia editorial no es publicar una vez y abandonar, sino mantener vivos los artículos que explican decisiones reales.

Panel de seguimiento y revisión

Plan de revisión en 30 días

Semana 1: inventario. Localiza herramientas, cuentas, proveedores, documentos, permisos o datos afectados. Marca qué existe, qué falta y quién puede decidir.

Semana 2: prueba real. Simula el caso que más daño causaría: una publicación errónea, una transferencia equivocada, una herramienta conectada a datos sensibles, una denuncia de marketplace, una copia que no restaura o un proveedor que no responde.

Semana 3: corrige lo crítico. No intentes arreglarlo todo. Elige el punto con mayor impacto y menor ambigüedad: política ausente, MFA sin activar, consentimiento incompleto, contrato sin salida, datos de producto dispersos o proceso de pago débil.

Semana 4: deja rutina. Programa una revisión mensual o trimestral según riesgo. Una rutina pequeña vale más que una gran revisión que nadie repetirá.

Hooks sociales reutilizables

  • Antes de decidir sobre imágenes de terceros e ia: qué dice la aepd y cómo evitar problemas en 2026, pregunta qué evidencia guardarás.
  • Si una herramienta o proceso no tiene plan de salida, no es barato: solo aplaza el coste.
  • La mejor decisión digital de 2026 será la que puedas explicar, mantener y revisar.

Resumen accionable

La acción inmediata es crear una ficha de una página: caso de uso, fuente oficial, responsable, riesgo principal, alternativa, evidencia y próxima revisión. Si esa ficha no se puede completar, todavía no cierres la decisión.

Diferentes perspectivas

Para usuariosQué hacer sin perderse en jerga.
La prioridad es convertir el tema en una decisión concreta: revisar fuente, guardar evidencia y aplicar una checklist mínima antes de actuar sobre entender cuándo una imagen de otra persona tratada con IA puede afectar a protección de datos.
Para pymesCómo llevarlo a procesos y responsables.
La pyme debería asignar responsable, definir casos permitidos y revisar Identificabilidad, Consentimiento o base jurídica, Menores antes de comprar, publicar, pagar o conectar herramientas.
Para proveedoresQué documentación debería estar preparada.
Un proveedor serio debe explicar límites, soporte, seguridad, salida y evidencias. La facilidad inicial no compensa si después nadie puede auditar la decisión.

Factores a considerar

Identificabilidad
Consentimiento o base jurídica
Menores
Finalidad
Herramienta usada
Difusión del resultado

Ventajas

  • Evita daños reputacionales
  • Ordena campañas con IA
  • Protege a menores y clientes
  • Reduce riesgo legal

Desventajas

  • Limita usos creativos improvisados
  • Exige revisar permisos de banco de imágenes
  • Puede ralentizar publicaciones urgentes

Preguntas frecuentes

¿Cuál es la primera acción sobre imágenes de terceros e ia: qué dice la aepd y cómo evitar problemas en 2026?

Crear una ficha breve con fuente oficial, responsable, riesgo principal, alternativa y próxima revisión. Si no se puede completar, falta información.

¿Es un tema solo para grandes empresas?

No. Las grandes empresas tendrán más estructura, pero usuarios, autónomos y pymes también toman decisiones que pueden afectar a dinero, datos, seguridad o reputación.

¿Hace falta contratar una herramienta nueva?

No necesariamente. Primero conviene entender el problema, revisar documentación y corregir procesos básicos. Una herramienta solo ayuda si resuelve un riesgo concreto.

¿Cómo evitar contenido genérico o poco útil?

Usando ejemplos propios, fuentes primarias, criterios de decisión, errores comunes y una acción inmediata. Si el lector no sabe qué hacer después, la pieza no cumple.

¿Cuándo debería revisarse esta decisión?

Como mínimo en 30 o 60 días si afecta a procesos vivos, y siempre que cambien proveedores, normas, herramientas, datos tratados o volumen de uso.

Preferencias de cookies

Usamos cookies técnicas necesarias y, si nos das permiso, medición y publicidad. Puedes aceptar, rechazar o configurar. Para Google Ads en España/EEE se deberá usar una CMP certificada por Google antes de activar anuncios personalizados.